はてなブログでの情報漏洩に備えてセキュリティインシデント対応演習を実施しました

こんにちは、Webアプリケーションエンジニアのid:Furutsukiです。普段は、はてなブログチームにいます。

はてなブログチームではセキュリティインシデント対応演習を実施しました。演習の実施にあたって何を準備しどのように実施したかを紹介します。

ひとくちにセキュリティインシデントへの対応といっても様々なケースが考えられますが、今回実施したのははてなブログが情報の漏洩元になってしまった場合にサービスの開発・運用チームとしてどうすればよいかを確認する演習です。

当然、全社的に情報漏洩に対する備えとして、もし何かあったらこう動きましょうというフローは用意されているので、それに対してチームとしてより具体的なアクションに落とし込み、フローを整理したりするところまで備えるため、演習を行うことにしました。

セキュリティインシデント対応マニュアルの準備

世間ではタスクフォースなどと呼ばれる事がある概念だと思いますが、障害やセキュリティインシデントの発生時はその問題に対処する即席のチームを組んで対応に当たると思います。はてなではこれを「フォーメーション」と呼んでいます。

はてなブログチームとしても、セキュリティインシデントの発生時にはそのようなフォーメーションを組み、一丸となって対応に当たりたいと考えて、まずはそのためのマニュアルを準備しました。

マニュアルにはセキュリティインシデント対応フォーメーションにおけるチームメンバーのロール(指揮官・書記・連絡役など)と、フォーメーションを組んでまずやることの指示(会場の準備やチーム外への連絡など)などを記述しました。続く演習ではこのマニュアルを見ながら対応の流れを確認し、いざというときにできるだけスムーズに対応できるようにするのが目的です。

用意したセキュリティインシデント対応時のマニュアル(人物はすべてFurutsukiで置き換えています)

演習のシナリオ準備

演習を行うに当たって、どのようなインシデントが発生したことにするかを決めました。大枠としては「はてなブログのすべてのブログの公開設定が全公開になってしまった」のように発生したインシデントを決めて、その原因(今回はエンジニアのオペレーションミスということにしました)やそれにより考えられる影響を考えていきました。また、目的とシナリオをまとめてレビューを受けました。

また、今回は演習の対象範囲ははてなブログの開発チームのみとしたので、インシデント対応時に関係することになるチーム外の人(コーポレート本部、CTOなど)の役割も必要でした。今回は適宜私がその役割を務めることにして、インシデント発生時にそれらの人がどのようなことをチームに要求するかを想像してメモを作成しました。メモの作成には全社的な対応フローやその立場の人に求められる役割を参考にしました。

メモを作る作業を通して別の視点からチームのインシデント対応を眺めることで理解を深めることができたことは良かったです。一方、役割を演じる上で本当にそのような動きで良いかは確信が持てないままだったので、事前にその役割の人にヒアリングしたり作成したメモをレビューをしてもらっても良かったかも知れません。

チーム外の人の役割を演じるためのメモ

机上演習形式で演習を実施

演習に先立って参加者に対して対応のフローや当日のシナリオを告知しました。先にフローやシナリオを告知しておくことで、事前に「自分はこう動けば良いはずである」ということを参加者に考えてもらい、演習をスムーズにする目的がありました。

セキュリティインシデント対応演習実施のお知らせ

これはGMOペパボさんのエントリにあった方法を参考にさせていただいています。

tech.pepabo.com

今回の演習はインシデントが起こったという体でやることを考え、手を動かす部分は宣言のみとする机上演習形式で行いました。フローを確認しながらだと机上演習でも時間がかかることが想定されたからです。その分、やるべきことの確認や判断のために時間を使えたと思います。

演習の様子(一部)

演習のふりかえり

演習の終了後はふりかえりを行いました。演習用のScrapboxのページに「感想・ふりかえり」コーナーを準備しておいたら演習中に気がついたことなどをその場でどんどん書き込んでもらえたので、あとからそれを眺めて次へのアクションを決めました。おもに当日詰まった場所のフローの改善案などが集まり、当初の目的通りにセキュリティインシデント時の対応フローをより洗練させられたと思います。

演習に寄せられた感想の一部(ユーザアイコンを一部置き換えています)

また、演習の中でどこまで具体的に対応を考えるかが難しい、あまりに具体的に想像しすぎると細かいところにまで気を遣う必要があり、かえって演習の進行を妨げてしまわないか気になったという意見もありました。ここは準備側で温度感の周知ができていなかったということだと思うので次回以降は改善していきたいところです。

まとめ

はてなブログチームで行ったセキュリティインシデント対応演習の準備と実施の様子を紹介しました。皆様の会社・チームでのセキュリティインシデント対応の参考になれば幸いです。また、うちではこうやっている、こんなシナリオを考えていますなどのコメントもお待ちしております。